Vous êtes sur la page 1sur 4

Page 1 of 4

Prsentation des rles de matres d'oprations sous Windows Server 2003 (FSMO)
http://www.laboratoire-microsoft.org/articles/win/FSMO/ Camille BEFFARA MGI CONSULTANTS Ingnieur systme et rseau Tous les articles de cet auteur Mathieu MANSION EXAKIS Ingnieur d'tudes Tous les articles de cet auteur

Imprimer cet Article

Nicolas MILBRAND LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT Ingnieur systmes et rseaux Tous les articles de cet auteur

1. Matre d'attribution de noms de domaine


1.1 Quel est son rle et quand est-il contact ?
Ce matre d'opration, unique dans une fort, se charge de contrler lajout ou la suppression de domaines dans la fort. En effet, lorsque vous ajoutez des contrleurs de domaine dans une fort Active Directory, le matre d'attribution des noms de domaine est le seul contrleur de domaine capable d'ajouter le nouveau domaine. De part cette fonction, il permet d'viter l'insertion de domaine ayant le mme nom dans la fort. Lorsque vous utilisez l'assistant Installation de Active Directory pour crer un domaine enfant, celui-ci va contacter le matre d'attribution de noms de domaine pour demander l'ajout ou la suppression. Si ce matre d'opration est indisponible, la fonctionnalit d'ajout ou de suppression de domaine dans la fort ne sera pas disponible.

http://www.laboratoire-microsoft.org/articles/win/FSMO/0/?action=print

03/01/2009

Page 2 of 4

Lorsque que vous ajoutez ou supprimez un nouveau domaine, vous ajoutez ou supprimez des partitions logiques dans Active Directory. Ainsi, le matre d'attribution des noms de domaine permet d'ajouter ou de supprimer tous les types de partition, ainsi que la gestion des objets de rfrences croiss. Dans la version Windows Server 2003, le matre d'attribution de nom de domaine prend en charge le renomage des domaines. Note : Les objets de rfrences croiss servent faire le lien entre les diffrentes partitions et le domaine. Ces objets sont stocks dans la partition de configuration.

Pour rappel sur les partitions Active directory, la base de donnes Active Directory est divise de manire logique en plusieurs partitions : du schma, de la configuration, du domaine et dapplication. Chaque partition est rplique sur une tendue spcifique. Dans un domaine, tous les contrleurs de domaine de la mme fort ont au moins deux partitions en commun : la partition de schma et de configuration. De plus, tous les contrleurs de domaine d'un mme domaine partagent une partition de domaine commune. La dernire partition, la partition application, stocke les donnes sur les applications utilises dans Active Directory, comme par exemple, les zones intgres Active Directory d'un serveur DNS. Cette partition est rplique sur des contrleurs de domaine que vous dfinissez.

Nous avons vu que le matre d'attribution des noms de domaine devait tre disponible lors de l'installation d'Active Directory sur un serveur. Cette vrification, effectue via le protocole RPC, est effectue au dbut de l'installation, juste aprs la validation des informations que vous avez entres dans l'assistant d'installation. Vous pouvez voir ci-dessous un extrait du fichier journal dcpromo.log situ dans le rpertoire %systemroot%\Debug.
MM/DD HH:MM:SS [INFO] Promotion request for domain controller of new domain MM/DD HH:MM:SS [INFO] DnsDomainName fsmo.test-article.lan MM/DD HH:MM:SS [INFO] Validate supplied paths MM/DD HH:MM:SS [INFO] Validating path C:\WINDOWS\NTDS. MM/DD HH:MM:SS [INFO] Validating path C:\WINDOWS\NTDS. MM/DD HH:MM:SS [INFO] Validating path C:\WINDOWS\SYSVOL. MM/DD HH:MM:SS [INFO] Child domain creation -- check the new domain name is child of parent domain name. MM/DD HH:MM:SS [INFO] Domain Creation -- check that the flat name is unique. MM/DD HH:MM:SS [INFO] Start the worker task

http://www.laboratoire-microsoft.org/articles/win/FSMO/0/?action=print

03/01/2009

Page 3 of 4

1.2 Problmes
Ce matre d'opration doit tre joignable lors de l'ajout ou la suppression d'un domaine d'une fort (en utilisant dcpromo). Lors de la suppression d'un domaine, le matre d'opration est contact dans le cas o vous supprimez le dernier contrleur de domaine du domaine. En effet, si votre domaine contient trois contrleurs et que vous en supprimez un, il n'y aura pas de contact avec le matre d'attribution des noms de domaine. Par contre, si vous supprimez le dernier contrleur de domaine, le matre de d'attribution des noms de domaine sera contact pour effacer le domaine de la fort. Nous avons galement vu que ce matre devait aussi tre disponible lors de la cration de partition, par exemple lorsque vous dsirez que votre zone DNS intgre Active Directory soit stocke dans la partition d'Application. Si le matre d'attribution de nom de domaine n'est pas disponible, vous ne pourrez effectuer aucune action sur les partitions Active Directory. Vous pouvez galement avoir une erreur lorsque vous excutez l'assistant Installation de Active Directory (dcpromo). En effet, le serveur hbergeant le rle de matre d'attribution des noms de domaine doit galement hberger le catalogue global. Si ce n'est pas le cas, dcpromo vous renverra un message d'erreur vous demandant de vous rfrer aux fichiers journaux (Dcpromo.log et Dcpromoui.log situs dans %systemroot%\Debug) et vous obtiendrez le message suivant dans les fichiers de log :
MM/DD HH:MM:SS [INFO] Error - The Directory Service failed to create the object CN=new grandchild domain name,CN=Partitions,CN=Configuration,DC=root domain name,DC=com. Please check the event log for possible system errors. (8495) MM/DD HH:MM:SS [INFO] NtdsInstall for new grandchild domain name.root domain name.com returned 8495 MM/DD HH:MM:SS [INFO] DsRolepInstallDs returned 8495 MM/DD HH:MM:SS [ERROR] Failed to install the directory service (8495)

Ainsi, tout comme le contrleur de schma, ce matre d'opration n'est requit qu'occasionnellement, ce n'est donc pas un matre critique. Si celui-ci venait ne plus tre joignable, vous ne pourrez simplement pas modifier les domaines de votre fort.

1.3 O l'identifier ?
Pour voir le propritaire du rle de matre d'attribution de nom de domaine, il faut vous rendre dans la console MMC "Domaines et approbations Active Directory" partir des Outils d'administration. Pour pouvoir l'identifier, il suffit de faire un clic droit sur "Domaines et approbations Active Directory" puis de slectionner "Matre d'opration" dans le menu droulant.

http://www.laboratoire-microsoft.org/articles/win/FSMO/0/?action=print

03/01/2009

Page 4 of 4

Il existe galement une mthode en ligne de commande grce la commande dsquery. Cette commande vous permet d'envoyer des requtes Active Directory. La commande pour identifier le matre d'attribution de nom de domaine est la suivante : dsquery server -hasfsmo name.

Sommaire 1. Maitre d'attribution des noms de domaine 1.1 Son rle 1.2 Problmes 1.3 O l'identifier 2. Contrleur de schma 2.1 Son rle 2.2 Si il n'est pas disponible 2.3 Modifier le schma 2.4 Le catalogue global 2.5 O l'identifier 3. Matre RID 3.1 SID 3.2 GUID 3.2 Rle 3.3 O l'identifier 4. Matre d'infrastructure 4.1 Les objets fantomes 4.2 Rle 4.3 O l'identifier 5. Emulateur PDC 5.1 Son rle

5.2 Verrouillage des comptes 5.3 Changement des mots de passe 5.4 Gestion des GPO 5.5 Mecanisme horaire 5.6 Localisation par les clients 5.7 Comment l'identifier 5.8 Positionnement 6. Transfert de rle 6.1 Transfrer le rle de controleur de schma 6.2 Transfrer le rle de matre d'attribution des noms de domaine 6.3 Transfrer les autres matres 6.4 Transfert en ligne de commande 7. Prise de rle 7.1 Le matre RID 7.2 L'mulateur PDC 7.3 Le matre d'infrastructure 7.4 Le matre d'attribution des noms de domaine 7.5 Le matre de schma Conclusion

(c) Laboratoire Microsoft

http://www.laboratoire-microsoft.org/articles/win/FSMO/0/?action=print

03/01/2009